2015.07.02

VPN 사용자, 생각보다 안전하지 않다

Katherine Noyes | IDG News Service
대규모 감시로부터 벗어나 프라이버시와 보안을 지키기 위해 사용자들은 VPN(Virtual Private Networks)을 사용하고 있지만, 이 VPN이 흔히 생각하는 것만큼 안전하지 않을지 모른다.

로마 라 사피엔자(La Sapienza) 대학과 영국 퀸메리 대학의 연구원 연구 보고서에 따르면, IPv6 리키즈(IPv6 leakage)로 알려진 취약점으로 인해 많은 수의 VPN 사용자 정보가 감시 행위에 노출될 수 있다.

이 연구 보고서의 이름은 <VPN 루킹 글래스를 통한 관찰: 상업용 VPN 클라이언트에서의 IPv6와 DNS 하이재킹(A Glance through the VPN Looking Glass: IPv6 Leakage and DNS Hijacking in Commercial VPN clients)>으로, 이 보고서는 지난해 말부터 전세계 14개 유명한 상업용 VPN 제공업체를 대상으로 검사에 나섰다고 설명했다.

특히 이 연구원들은 패시브 모니터링(passive monitoring)과 DNS 하이재킹 이 두 종류의 공격들을 시도함으로써 VPN들을 테스트했다.
패시브 모니터링 방법으로 해커는 간단하게 사용자의 암호화되지 않은 정보들을 수집할 가능성이 있으며, DNS 하이재킹은 해커가 구글 또는 페이스북과 같은 유명 사이트라고 사칭함으로써 관리되는 웹서버에서 사용자의 브라우저에 재전송하는 방법이다.

이 연구원들이 발견한 것은 14개 제공업체 가운데 11개가 사용자들이 접속했던 웹사이트를 포함해 사용자들이 커뮤니케이션한 실제 콘텐츠 정보를 유출했다. 단지 PIA(Private Internet Access), 물바드(Mullvad), VyprVPN 등 3개 업체만이 예외였다.

토르가드(TorGuard)는 이 문제를 해결하는 방법을 제공했지만, 자연스럽게 되지 않았다.
또한 이 연구 보고서는 VPN을 사용한 다양한 모바일 플랫폼 보안을 조사했는데, 아주 안전하다고 생각하는 iOS를 사용할 때나 안드로이드를 사용할 때나 여전히 IPv6 리키즈 취약점을 갖고 있음을 발견했다.

연구원들은 다만 HTTPS 암호화를 실행하고 있는 웹사이트 인터랙션(Interactions)은 취약점에 노출되지 않았다고 전했다.
연구원에 따르면, 이 문제는 네트워크 운영자들이 갈수록 IPv6를 배포하고 있음에도 불구하고 대다수 VPN은 여전히 IPv4만을 보호한다는 것이 하나의 원인이다.

연구원들은 또다른 문제로 많은 VPN 서비스 제공업체들이 PPTP와 같은 무차별 대입 공격(brute force attacks)을 통해 쉽게 깨질 수 있는, 구식의 터널링 프로토콜(tunneling protocols)에 의존한다는 점을 지목했다.

이 연구원들은 토르(Tor)를 거론하면서 익명성을 원한다면 잠재적 대안으로 테일즈(Tails)와 같은 리눅스 운영체제를 더불어 사용할 것을 권유했다. 한편 대기업용 VPN은 이번 문제에 영향을 받지 않았다.

듀오 시큐리티(Duo Security) 연구 책임자 스티브 맨주익은 "VPN 기술을 이용하는 일반적인 기업 사용자에게는 영향이 없다"며, "프라이버시를 위해 VPN 서비스에 의존하는 사용자들은 항상 자신의 시스템이 송신하는 프로토콜을 잘 살펴야 하며 프라이버시 전용 VPN 서비스를 고려하라고 충고했다.

맨주익은 "원래 VPN 기술은 프라이버시를 제공하기 위해 디자인된 것이 아니다. VPN 기술은 원래 믿을 수 없는 네트워크를 통해 조직간 내부 네트워크 인프라스트럭처를 연결하기 위한 안전한 방법"이라고 지적했다.

"제대로 규명된 VPN조차도 사용자 신원을 확인하는데 다른 수단이 있으며 그들의 프라이버시를 침해한다"고 덧붙였다. editor@itworld.co.kr


2015.07.02

VPN 사용자, 생각보다 안전하지 않다

Katherine Noyes | IDG News Service
대규모 감시로부터 벗어나 프라이버시와 보안을 지키기 위해 사용자들은 VPN(Virtual Private Networks)을 사용하고 있지만, 이 VPN이 흔히 생각하는 것만큼 안전하지 않을지 모른다.

로마 라 사피엔자(La Sapienza) 대학과 영국 퀸메리 대학의 연구원 연구 보고서에 따르면, IPv6 리키즈(IPv6 leakage)로 알려진 취약점으로 인해 많은 수의 VPN 사용자 정보가 감시 행위에 노출될 수 있다.

이 연구 보고서의 이름은 <VPN 루킹 글래스를 통한 관찰: 상업용 VPN 클라이언트에서의 IPv6와 DNS 하이재킹(A Glance through the VPN Looking Glass: IPv6 Leakage and DNS Hijacking in Commercial VPN clients)>으로, 이 보고서는 지난해 말부터 전세계 14개 유명한 상업용 VPN 제공업체를 대상으로 검사에 나섰다고 설명했다.

특히 이 연구원들은 패시브 모니터링(passive monitoring)과 DNS 하이재킹 이 두 종류의 공격들을 시도함으로써 VPN들을 테스트했다.
패시브 모니터링 방법으로 해커는 간단하게 사용자의 암호화되지 않은 정보들을 수집할 가능성이 있으며, DNS 하이재킹은 해커가 구글 또는 페이스북과 같은 유명 사이트라고 사칭함으로써 관리되는 웹서버에서 사용자의 브라우저에 재전송하는 방법이다.

이 연구원들이 발견한 것은 14개 제공업체 가운데 11개가 사용자들이 접속했던 웹사이트를 포함해 사용자들이 커뮤니케이션한 실제 콘텐츠 정보를 유출했다. 단지 PIA(Private Internet Access), 물바드(Mullvad), VyprVPN 등 3개 업체만이 예외였다.

토르가드(TorGuard)는 이 문제를 해결하는 방법을 제공했지만, 자연스럽게 되지 않았다.
또한 이 연구 보고서는 VPN을 사용한 다양한 모바일 플랫폼 보안을 조사했는데, 아주 안전하다고 생각하는 iOS를 사용할 때나 안드로이드를 사용할 때나 여전히 IPv6 리키즈 취약점을 갖고 있음을 발견했다.

연구원들은 다만 HTTPS 암호화를 실행하고 있는 웹사이트 인터랙션(Interactions)은 취약점에 노출되지 않았다고 전했다.
연구원에 따르면, 이 문제는 네트워크 운영자들이 갈수록 IPv6를 배포하고 있음에도 불구하고 대다수 VPN은 여전히 IPv4만을 보호한다는 것이 하나의 원인이다.

연구원들은 또다른 문제로 많은 VPN 서비스 제공업체들이 PPTP와 같은 무차별 대입 공격(brute force attacks)을 통해 쉽게 깨질 수 있는, 구식의 터널링 프로토콜(tunneling protocols)에 의존한다는 점을 지목했다.

이 연구원들은 토르(Tor)를 거론하면서 익명성을 원한다면 잠재적 대안으로 테일즈(Tails)와 같은 리눅스 운영체제를 더불어 사용할 것을 권유했다. 한편 대기업용 VPN은 이번 문제에 영향을 받지 않았다.

듀오 시큐리티(Duo Security) 연구 책임자 스티브 맨주익은 "VPN 기술을 이용하는 일반적인 기업 사용자에게는 영향이 없다"며, "프라이버시를 위해 VPN 서비스에 의존하는 사용자들은 항상 자신의 시스템이 송신하는 프로토콜을 잘 살펴야 하며 프라이버시 전용 VPN 서비스를 고려하라고 충고했다.

맨주익은 "원래 VPN 기술은 프라이버시를 제공하기 위해 디자인된 것이 아니다. VPN 기술은 원래 믿을 수 없는 네트워크를 통해 조직간 내부 네트워크 인프라스트럭처를 연결하기 위한 안전한 방법"이라고 지적했다.

"제대로 규명된 VPN조차도 사용자 신원을 확인하는데 다른 수단이 있으며 그들의 프라이버시를 침해한다"고 덧붙였다. editor@itworld.co.kr


X